ケンタッキー大学、ペンテスト中にデータ漏洩を発見:35万5,000人分のデータ

news
ransom - data breach

ケンタッキー大学は、6月上旬に第三者によるセキュリティ侵入テストの際に、大学のテスト受験用プラットフォームの1つにセキュリティ侵害があったことを発見したと発表しました。

UK Cyber Inspection Detects Breach, Initiates Additional Security Measures
An annual cybersecurity inspection by the University of Kentucky recently revealed a vulnerability in a website that allowed an unauthorized individual to likel...

この問題は、ケンタッキー大学の「Digital Driver’s License」プラットフォームに影響を与え、大学が2000年代初頭に「Open-source Tools for Instructional Support (OTIS)」と呼ばれる教育プログラムの一環として開発したウェブベースのポータルが対象となっています。

DDLの主な目的は、ケンタッキー州をはじめとする米国各州の幼稚園から高校までの学校や大学に、オンラインでの授業やテストの受験機能を無料で提供することで、ケンタッキー州をはじめとする米国各州のK-12スクールや大学にオンラインでの授業や試験を無料で提供することを主な目的としています。

今回のDDLへの侵入は、6月初旬に同大学が第三者の協力を得て自社プラットフォームの定期的な侵入テストを実施した際に発覚しました。

このテストでは、DDLプラットフォームの脆弱性が発見されましたが、大学がさらに調査したところ、2021年の初めにこの脆弱性が利用されていたことが判明しました。

盗まれたデータベースには35万5,000人分のデータが含まれていた

米国の複数の州に送られたデータ侵害開示書によると、大学関係者はその後の調査で、攻撃者が2021年1月8日から2021年2月6日の間にこのバグを利用してDDLプラットフォームにアクセスし、内部データベースのコピーを取得したことが判明したと述べています。

DocumentCloud

このデータベースには、ケンタッキー州をはじめ、全米50州、海外22カ国、合計35万5,000人以上の学生や教師の名前とメールアドレスが含まれていました

盗まれた情報は、電子メールとパスワードのみで、SSNや財務情報は含まれていないとのことです。

関係者は現在、影響を受ける学校、カレッジ、学生に通知しており、同大学は本脆弱性を修正し、DDLサーバーを集中管理型のサーバーシステムに移行することで、より優れた保護を実現していると述べています。

「ケンタッキー大学のブライアン・ニコルズ最高情報責任者(CIO)は、「私たちは、公的機関、民間企業を問わず、このような悪質な攻撃を受ける機関が増え続けていることを認識しています。だからこそ、我々のインフラやシステムを守るために、これまで以上に警戒して対応策を講じる必要があるのです」。

Comments

タイトルとURLをコピーしました